Privacy & Beveiliging

Hoe we de gegevens van je kind beschermen

Wanneer je ons het vertrouwen geeft om de ontwikkelingsgegevens van je kind te verwerken, voelen we de zwaarte van die verantwoordelijkheid. Alle gegevens worden verwerkt en opgeslagen op servers binnen de Europese Unie, op infrastructuur die wij zelf beheren. We gebruiken bewust geen publieke cloudservices voor gegevens met persoonlijke informatie. De gegevens van je kind worden nooit verkocht, nooit gedeeld en nooit gebruikt om AI-modellen van derden te trainen. Dat is geen belofte, dat is hoe ons systeem is gebouwd.

Gegevensclassificatie

We classificeren gegevens in strikte categorieen, elk met het passende beschermingsniveau. Ontwikkelingsscores, beoordelingsresultaten en gezondheidsgerelateerde informatie krijgen het hoogste beveiligingsniveau. Accountgegevens zoals e-mailadressen worden apart opgeslagen van ontwikkelingsgegevens. We slaan nooit gegevens op die we niet nodig hebben, er is geen browsegeschiedenis, geen gedragstracking, geen sociale media-integratie. Alleen wat nodig is, niets meer.

Encryptiearchitectuur

Alle gegevens zijn versleuteld tijdens transport met TLS 1.3 en in rust met AES-256-GCM. Wachtwoorden worden gehasht met bcrypt. Encryptiesleutels worden beheerd via een speciaal sleutelbeheersysteem met automatische rotatie. Databaseverbindingen zijn end-to-end versleuteld. Back-ups zijn versleuteld met aparte sleutels die worden opgeslagen in een hardware security module. Kortom: op elk punt in de keten zijn je gegevens beschermd.

Toegangscontrole

We hanteren een zero-trust beveiligingsmodel, niets en niemand wordt vertrouwd zonder verificatie. Rolgebaseerde toegangscontrole (RBAC) beperkt wie toegang heeft tot wat. Row-level security (RLS) zorgt ervoor dat gebruikers uitsluitend hun eigen gegevens kunnen zien. Zelfs als een applicatiekwetsbaarheid zou worden misbruikt, is datalekkage tussen accounts architecturaal onmogelijk. Alleen geautoriseerd personeel heeft toegang tot productiesystemen, en elke toegangsgebeurtenis wordt gelogd en is auditeerbaar.

Infrastructuurbeveiliging

Onze infrastructuur draait op private cloud binnen de Europese Unie. Geen persoonlijke gegevens verlaten de EU, dat is geen optie in een instellingenmenu, maar een vast onderdeel van onze architectuur. We gebruiken geen publieke cloudproviders voor het opslaan of verwerken van persoonlijke informatie. Netwerksegmentatie isoleert gevoelige services. Web application firewalls filteren kwaadaardig verkeer. DDoS-bescherming is te allen tijde actief.

Incidentrespons

We onderhouden een gedocumenteerd incidentresponsplan met gedefinieerde rollen, escalatiepaden en communicatieprocedures. In het geval van een datalek informeren we getroffen gebruikers en de relevante toezichthoudende autoriteit binnen het wettelijk vereiste tijdsbestek, doorgaans 72 uur onder de AVG. We wachten niet tot het laatste moment; we communiceren zo snel als verantwoord mogelijk is.

Penetratietesten

Regelmatige penetratietesten door onafhankelijke beveiligingsbedrijven zijn standaard. Bevindingen worden verholpen voor elke release. We wachten niet op jaarlijkse audits, continue beveiligingstesten maken deel uit van ons dagelijks ontwikkelproces. De veiligheid van je kind verdient meer dan een jaarlijks vinkje.

Verantwoorde openbaarmaking van kwetsbaarheden

Ontdek je een beveiligingskwetsbaarheid? We horen het graag. We hanteren een beleid voor verantwoorde openbaarmaking en ondernemen geen juridische stappen tegen onderzoekers die kwetsbaarheden te goeder trouw melden. Neem contact op via security@cognistase.com.

Geen gegevensdeling met derden

Cognistase deelt geen gegevens met derden. Geen advertentienetwerken, geen analyticsproviders, geen datahandelaren. De ontwikkelingsgegevens van je kind worden uitsluitend gebruikt om de dienst te leveren waarvoor je je hebt aangemeld. Dat is geen commerciele keuze, het is een ethische.